ウェブハードによって拡散している HackHound IRC Bot Posted By ATCP , 2022년 11월 11일 ウェブハードは、韓国国内のユーザーをターゲットにする攻撃者たちが使用する代表的なマルウェア配布プラットフォームである。ASEC 分析チームでは、ウェブハードを通じて配布されるマルウェアをモニタリングしており、過去にいくつかのブログを通じて情報を共有してきた。一般的に攻撃者たちは、成人向けゲームや私用ゲームのクラックバージョンのような違法プログラムと共にマルウェアを配布する。このようにウェブハードを配布経路に使用する攻撃者たちは、主に njRAT や UdpRAT、DDoS IRC Bot のような RAT タイプのマルウェアをインストールする。 攻撃者たちは、上記で取り上げた事例のように定期的に様々なタイプのマルウェアを使用している。ASEC 分析チームでは最近、「HH…
ASEC マルウェア週間統計 ( 20221031~20221106 ) Posted By ATCP , 2022년 11월 10일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年10月31日(月)から11月6日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではダウンローダーが64.8%と1位を占めており、その次にインフォスティーラー型マルウェアが25.9%、バックドアが6.6%、ランサムウェアが2.2%、コインマイナーが0.4%の順に集計された。 Top 1 – BeamWinHTTP 39.6%で1位を占めた BeamWinHTTP…
検知回避を目的に巧妙に操作された Word ファイルの拡散 (External+RTF) Posted By ATCP , 2022년 11월 10일 MS Office Word ドキュメントの External 外部リンクへの接続が可能な点を利用し、さらなる RTF マルウェアを配布する不正な Word ファイルは、かなり前から持続的に確認されてきた。しかし最近、アンチウイルス製品の検知を回避するためと推定されるファイルが、韓国国内に多数拡散している状況が確認されていることについて報告する。 https://asec.ahnlab.com/jp/22437/ ビジネス目的に偽装した電子メールに…
Gwisin ランサムウェア、攻撃者の侵入および配布方法 Posted By ATCP , 2022년 11월 10일 Gwisin ランサムウェアの攻撃者は、外部に公開されている被害企業のサーバーに侵入したあと、そのサーバーを拠点として内部インフラにランサムウェアを配布する方式を使用する。内部インフラにランサムウェアを配布するため SFTP、WMI、統合管理ソリューション、IIS Web サービス等の様々な方法を使用することで知られているが、今回確認された事例では IIS Web サービスを通じて配布したものと確認された。 攻撃者はどのような方法でサーバーに侵入するのか? スピアフィッシングや Watering Hole…
Amadey Bot を利用した LockBit 3.0 ランサムウェアが拡散中 Posted By ATCP , 2022년 11월 08일 ASEC 分析チームでは最近、Amadey Bot マルウェアが LockBit ランサムウェアのインストールにて使われていることを確認した。Amadey Bot は、2018年ごろから確認されているマルウェアで、攻撃者の命令を受けて、情報の窃取や追加マルウェアのインストールを実行することができる。一般的なマルウェアのように、Amadey もしくは不法なフォーラムなどによって販売されており、今日まで様々な攻撃者によって使用されている。 Amadey は過去、GandCrab ランサムウェアの攻撃者によってランサムウェアをインストールする際に使用されたり、Clop…
ASEC マルウェア週間統計 ( 20221024~20221030 ) Posted By ATCP , 2022년 11월 03일 ASEC 分析チームでは、ASEC 自動解析システム RAPIT を活用し、既知のマルウェアに対する分類および対応を進めている。本記事では、2022年10月24日(月)から10月30日(日)までの一週間で収集されたマルウェアの統計を整理する。 大分類の上ではインフォスティーラーが43.2%と1位を占めており、その次にダウンローダーマルウェアが34.7%、バッグドアが19.4%、ランサムウェアが2.2%の順に集計された。 Top 1 – Agent Tesla インフォスティーラー型マルウェアである AgentTesla…
Surtr ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2022년 11월 03일 ASEC 分析チームは最近、内部モニタリングを通じてファイルを暗号化した後、原本ファイルの拡張子名に「[DycripterSupp@mailfence.com].[<ランダム文字列>].Surtr」を追加する Surtr ランサムウェアが配布されていることを確認した。 Surtr ランサムウェアに感染すると、[図1、2]のように感染した PC のデスクトップ背景を変更し、ランサムノートの生成によってユーザーにランサムウェアに感染した事実を注視させ、[図3]のように感染したファイルが存在するフォルダーごとにランサムノートファイル(SURTR_README.hta および SURTR_README.txt)を生成するといった特徴がある。 Surtr ランサムウェアは実際のファイル暗号化を実行する前、当該ファイルが実行される国の…
原子力発電所関連企業をターゲットに AppleSeed が拡散 Posted By ATCP , 2022년 11월 02일 ASEC 分析チームは最近、原子力発電所関連企業をターゲットに AppleSeed マルウェアを配布している状況を確認した。AppleSeed は北朝鮮関連組織の一つである Kimsuky が使用するバックドア型マルウェアであり、複数の企業をターゲットに活発に出回っている。 https://asec.ahnlab.com/jp/36228/ 今回 ASEC 分析チームで確認された AppleSeed…
Elbie ランサムウェア、韓国国内で拡散中 Posted By ATCP , 2022년 11월 02일 ASEC 分析チームは最近、内部モニタリングを通じて Internet Explorer Add-on インストーラーである ieinstal.exe に偽装した Elbie ランサムウェアが拡散していることを確認した。 初期実行ファイルは、エンコードされた内部のデータを実質的なランサムウェアの振る舞いを実行する[図2]の実行ファイルにデコードする。 その後、再帰処理したプロセスにデコードした実行ファイルをインジェクションし、ユーザーの…
VBS を通じて拡散している AgentTesla Posted By ATCP , 2022년 10월 31일 ASEC 分析チームは最近、不正な VBS を通じて AgentTesla が拡散していることを確認した。スクリプトファイルには多数のコードが複数回にわたって難読化されているという特徴がある。AgentTesla は今年5月に Windows ヘルプファイル(*.chm)による配布が確認された履歴があり、持続的に配布方式を変更しているものと思われる。 https://asec.ahnlab.com/jp/34817/ VBS スクリプトはメールに圧縮ファイル形式で添付して配布される。最近では、韓国国内の企業を騙った配布メールも確認された。…
